✅ 보고서 제목: Adobe Acrobat 취약점 분석: CVE-2026-34621

✅ 보고서 요약:

- 본 보고서는 Adobe Acrobat*에서 발생하는 임의 코드 실행(Arbitrary Code Execution) 취약점인 CVE-2026-34621에 대한 분석 보고서입니다.

* Adobe Acrobat: PDF 문서 보기·편집·디지털 서명·공유 검토 등 다양한 기능을 제공하는 PDF 처리 애플리케이션

- 본 취약점은 PDF 문서 내에 포함된 JavaScript 처리 과정에서 발생하는 오브젝트 프로토타입 속성의 부적절한 제어 수정(Prototype Pollution)으로 인한 임의 코드 실행(Arbitrary Code Execution) 취약점입니다.

- 하단에 기재된 버전이 본 취약점의 영향을 받습니다.

- Adobe Acrobat DC / Reader DC ≤ 26.001.21367

- Adobe Acrobat 2024 ≤ 24.001.30356 (Windows & macOS)

- 본 취약점은 알려지지 않은 Threat Actor에 의해 In-the-wild에서 악용되었음이 밝혀졌습니다.

- 정확한 최초 악용 시점은 확인되지 않았으나, VirusTotal에 등록된 가장 오래된 샘플(2025년 11월 28일 등록)을 기준으로 취약점 제보자인 EXPMON의 Haifei Li는 최소 4개월 이상 진행된 0-day / APT 캠페인으로 추정합니다.

- CVE Number: CVE-2026-34621

- Disclosure or Patch Date: 2026-04-11

- Product: Acrobat

- Vendor: Adobe

- Threat Actor: Unknown

- Confirmed Affected Version:

- Adobe Acrobat DC / Reader DC (Continuous) ≤ 26.001.21367

- Adobe Acrobat 2024 (Classic) ≤ 24.001.30356

- Patched Version:

- Adobe Acrobat DC / Reader DC ≥ 26.001.21411

- Adobe Acrobat 2024 ≥ 24.001.30362 (Windows) / 24.001.30360 (macOS)

- Reporter (Advisor): Haifei Li (EXPMON)

- Acrobat의 JavaScript API 중 일부 신뢰 전파자 함수가 swConn 식별자를 함수 스코프 선언(var/let/const) 없이 implicit-global로 쓰고, 같은 함수 안에서 bare-name으로 다시 읽도록 작성되어 있습니다.

- 이때 공격자가 PDF 문서에 포함된 JavaScript로 Object.prototype.swConn을 setter 없는 getter로 오염시키면, implicit-global 쓰기는 조용히 no-op으로 처리됩니다.

- 이어지는 읽기는 오염된 prototype 체인을 따라 처리되어, 공격자가 심은 콜러블이 신뢰 프레임 안에서 호출됩니다.

- 이로 인해 문서에 포함된 임의의 JavaScript 함수를 영구 trustedFunction으로 등록하여, 사용자 권한으로 호출할 수 없는 Acrobat의 privileged API들을 활용하는 임의의 JavaScript 코드를 실행할 수 있습니다.

- 본 취약점을 통해 외부 공격자는 피해자가 악성 PDF를 열도록 유도합니다.

- PDF 문서 내 JavaScript만으로 신뢰 프레임을 획득함으로써, 일반 사용자가 호출할 수 없는 privileged Acrobat API를 통해 다음과 같은 다양한 악성 행위를 수행할 수 있습니다.

- 임의 파일 읽기를 통한 fingerprinting 및 민감 정보 수집, 노출

- RSS 기능을 악용한 C2 서버 통신 및 원격 JavaScript payload 다운로드, 실행

- S2W 위협 인텔리전스센터 탈론에서 자체적으로 제작 및 진행한 PoC 테스트 코드가 궁금하다면, 아래 링크를 통해 문의해주세요.

- 취약한 버전의 Acrobat을 사용 중인 경우, 최신 버전으로 업데이트할 것을 권장합니다.

- 즉각적인 업데이트가 불가능할 경우, 하단의 조치 방안에 따라 조치할 것을 권장합니다.

- 그룹 정책 또는 Acrobat 설정을 통해 PDF 문서에 포함된 JavaScript 실행 비활성화

- 신뢰되지 않은 출처의 PDF 열람 자제

🧑‍💻 보고서 작성자: S2W TALON

👉 보고서 전문 문의하기: https://s2w.inc/ko/contact

*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.